11 triệu thiết bị Android nhiễm phần mềm độc hại từ Google Play

Báo cáo từ Kaspersky cho thấy, hiện có hơn 11 triệu thiết bị Android đã bị nhiễm malware Necro thông qua hai ứng dụng tưởng chừng vô hại trên Google Play.

Necro được phát hiện lần đầu vào năm 2019 trong ứng dụng nhận dạng văn bản CamScanner với hơn 100 triệu lượt tải xuống trên Google Play.

Gần đây, các nhà an ninh mạng đã phát hiện Necro đã xuất hiện trở lại cả trong các ứng dụng phổ biến trên Google Play và trong các bản ứng dụng khác nhau trên các website không chính thức. Phiên bản mới của mã độc này đã được nâng cấp nhiều tính năng hơn.

Các chuyên gia Kaspersky cho rằng, nhà phát triển của các ứng dụng hợp pháp có thể đã sử dụng một công cụ tích hợp quảng cáo chưa được xác minh và điều này giúp Necro xâm nhập.

Wuta Camera và Max Browser, hai ứng dụng phổ biến trên Google Play đã bị phát hiện có chứa malware Necro với số lượt tải về tổng cộng trên 11 triệu lần.

Necro đã dễ dàng qua mặt các hệ thống bảo mật bằng cách sử dụng kỹ thuật ẩn mã độc bên trong hình ảnh (steganography). Khi đã xâm nhập được vào thiết bị, mã độc sẽ chiếm quyền điều khiển, tải mã độc bổ sung và thậm chí lén lút đăng ký các dịch vụ mất phí mà người dùng không hay biết.

Người dùng cần xóa ngay các ứng dụng như Wuta Camera (phiên bản bị nhiễm từ 6.3.2.148 đến 6.3.6.148) và Max Browser nếu đã cài đặt.

31 ứng dụng đánh cắp thông tin tài khoản ngân hàng, nên xoá ngay (3/9/2024)

31 ứng dụng độc hại dưới đây có khả năng đánh cắp thông tin đăng nhập vào tài khoản ngân hàng mà không cần sự cho phép của người dùng.

Các nhà nghiên cứu bảo mật phát hiện mã độc có tên “Daam” có thể vượt qua được các ứng dụng bảo mật cài đặt trên smartphone và gây ra nhiều hậu quả nghiêm trọng.

Loại mã độc này được các chuyên gia đánh giá là có cách thức hoạt động tinh vi, có thể đánh cắp dữ liệu, thu thập thông tin nhạy cảm, nghe lén và ghi lại toàn bộ các cuộc gọi đến và đi trên smartphone của nạn nhân, kể cả những cuộc gọi được thực hiện qua các ứng dụng như Messenger, Telegram hay WhatsApp…

Theo các chuyên gia của CloudSEK, có 3 ứng dụng có chứa mã độc Daam:

• Psiphon ứng dụng tạo mạng riêng ảo VPN.
• Boulders game di động.
• Currency Pro ứng dụng chuyển đổi giá trị tiền tệ.

Ngoài ra, các tổ chức quốc tế nghiên cứu bảo mật thông tin cho biết, đã phát hiện 28 ứng dụng có xu hướng lây lan mã độc, được mạo danh dưới dạng các ứng dụng hữu ích để lừa người dùng cài đặt. 17 ứng dụng trong số đó mạo danh dưới dạng các công cụ VPN, với lời quảng cáo giúp người dùng duyệt web an toàn hơn và che giấu thông tin thật trên Internet.

28 ứng dụng có chứa mã độc bao gồm:

• Lite VPN;
• Anims Keyboard;
• Blaze Stride;
• Byte Blade VPN;
• Android 12 Launcher;
• Android 13 Launcher;
• Android 14 Launcher;
• CaptainDroid Feeds;
• Free Old Classic Movies;
• Phone Comparison;
• Fast Fly VPN;
• Fast Fox VPN;
• Fast Line VPN;
• Funny Char Ging Animation;
• Limo Edges;
• Oko VPN;
• Phone App Launcher;
• Quick Flow VPN;
• Sample VPN;
• Secure Thunder;
• Shine Secure;
• Speed Surf;
• Swift Shield VPN;
• Turbo Track VPN;
• Turbo Tunnel VPN;
• Yellow Flash VPN;
• VPN Ultra;
• Run VPN.

Các chuyên gia cảnh báo, nếu thiết bị của người dùng có chứa các ứng dụng này, cần nhanh chóng gỡ bỏ để tránh các rủi ro đáng tiếc. Đồng thời để đảm bảo an toàn, người dùng không tải xuống các ứng dụng lạ, kích hoạt tính năng Google Play Protect trong Google Play để được bảo vệ khỏi phần mềm độc hại và sử dụng các giải pháp chống virus đáng tin cậy.

Phần mềm độc hại NGate sử dụng đầu đọc NFC rút sạch tiền của nạn nhân (27/8)

Công ty an ninh mạng ESET đã phát hiện một phần mềm độc hại trên Android sử dụng đầu đọc NFC trên thiết bị bị nhiễm để lấy dữ liệu thanh toán từ điện thoại và chuyển tiếp thông tin đó cho kẻ gian.

Phần mềm độc hại này sử dụng bộ công cụ NFCGate để phân tích lưu lượng NFC nên được đặt tên là NGate.

Phần mềm độc hại này sẽ cho phép kẻ gian rút tiền hoặc thanh toán cho các giao dịch mua tại máy tính tiền bằng cách sử dụng dữ liệu của người dùng tại các máy ATM và máy POS (điểm bán hàng).

NGate hoạt động bằng cách gửi một tin nhắn khẩn cấp chứa một liên kết đến một trang web giả mạo thu thập thông tin đăng nhập của nạn nhân, yêu cầu nạn nhân một cài đặt ứng dụng vì có vấn đề với tờ khai thuế của họ. Dựa vào thông tin thu thập được, kẻ tấn công sẽ có quyền truy cập vào tài khoản ngân hàng của mục tiêu.

Sau đó, kẻ tấn công sẽ giảm làm nhân viên ngân hàng gọi điện thoại cho nạn nhân để thông báo gửi một tin nhắn văn bản chứa liên kết đến một ứng dụng, thực chất là phần mềm độc hại NGate. Kẻ tấn công sẽ yêu cầu nạn nhân bật NFC trên điện thoại của mình và quét thẻ.

Thông qua smartphone bị xâm nhập, NGate có thể chuyển tiếp dữ liệu NFC từ thẻ của nạn nhân đến smartphone của kẻ tấn công, sau đó có thể mô phỏng thẻ. Từ đó, kẻ gian sẽ nhận được thông tin theo thời gian thực và rút tiền từ máy ATM.

Nhờ chức năng tự động bảo vệ của Google Play Protect, hiện không có ứng dụng nào chứa NGate được phát hiện trên Google Play.

Cảnh báo: Phần mềm độc hại mới chuyên đánh cắp tiền và xóa sạch thiết bị Android

Các chuyên gia bảo mật mới phát hiện một phần mềm độc hại mới trên Android có tên 'BingoMod’ có thể đánh cắp tiền từ tài khoản ngân hàng và xóa sạch dữ liệu điện thoại của nạn nhân.

BingoMod thường giả dạng các ứng dụng bảo mật di động phổ biến, được phát tán thông qua các tin nhắn SMS lừa đảo để đánh lừa người dùng cài đặt. Sau khi được cài đặt, phần mềm độc hại này sẽ yêu cầu người dùng cấp quyền truy cập vào các dịch vụ trợ năng, từ đó kiểm soát toàn bộ thiết bị để đánh cắp thông tin đăng nhập, chụp ảnh màn hình, chặn tin nhắn và thậm chí thực hiện các giao dịch gian lận trực tiếp trên thiết bị.

Theo kết quả nghiên cứu, mỗi giao dịch của phần mềm độc hại này có thể bị đánh cắp lên tới hơn 16.000 USD (khoảng 404 triệu đồng).

Ngoài ra, sau khi đã rút tiền thành công BingoMod còn có thể xóa sạch dữ liệu trên điện thoại, khiến nạn nhân khó có thể khôi phục lại thông tin.

Hiện tại, BingoMod vẫn đang trong quá trình phát triển và chắc chắn sẽ còn trở nên nguy hiểm hơn trong tương lai.

Vì vậy, các chuyên gia cảnh báo, người dùng Android cần đặc biệt cảnh giác với các tin nhắn SMS chứa liên kết tải ứng dụng lạ, đặc biệt là những ứng dụng có tên gọi liên quan đến bảo mật bảo vệ tài khoản ngân hàng và dữ liệu cá nhân của mình. Ngoài ra, người dùng nên kiểm tra kỹ thông tin nhà phát triển và đọc các đánh giá của người dùng khác trước khi cài đặt bất kỳ ứng dụng nào.

Cách kiểm tra smartphone có cài đặt ứng dụng độc hại không

Người dùng có thể sử dụng tính năng "Play Protect" được Google tích hợp sẵn trên CH Play để kiểm tra smartphone của mình có vô tình cài đặt ứng dụng nào chứa mã độc hay không.

Để sử dụng tính năng này, người dùng cần truy cập kho ứng dụng CH Play -> kích vào biểu tượng tài khoản ở góc trên bên phải -> lựa chọn thiết lập "Play Protect" -> nhấn vào nút "Quét".

Sau khi quét, nếu xuất hiện thông báo "Không tìm thấy ứng dụng gây hại nào" thì điện thoại của bạn đang an toàn.

Tuy nhiên, tính năng Play Protect chỉ bảo vệ smartphone của bạn khỏi các ứng dụng mà Google đã nhận diện là độc hại. Trong trường hợp Google chưa nhận diện được các ứng dụng có chứa mã độc thì tính năng này chưa thể đưa ra cảnh báo đến người dùng.

Cách gỡ bỏ ứng dụng độc hại trên smartphone Android

Để gỡ bỏ ứng dụng độc hại trên smartphone Android, bạn cần truy cập vào Cài đặt/Settings -> chọn thẻ Ứng dụng/Applications -> chọn mục Manage applications -> tìm ứng dụng cần gỡ bỏ, nhấp vào nó và chọn Gỡ cài đặt hoặc Uninstall.